如何满足Windows Hello for Business的部署要求
认证服务对任何组织都至关重要,可建立防范恶意软件和勒索软件等网络威胁的基础保护。因此,许多组织寻求像Windows Hello for Business这样的服务来提供操作系统级安全。
虽然它不是一刀切的安全方法,但Windows Hello for Business是IT管理员与其他安全服务一起使用的关键工具。然而,在组织急于部署此服务之前,必须确定是否满足Windows Hello for Business的要求。
Windows Hello for Business的要求是什么?
Windows Hello for Business本身包含在Windows许可证中,包括Windows Pro、Windows Enterprise E3和E5,以及Windows Education A3和A5。额外成本来自身份和管理基础设施,如Microsoft Entra ID和Intune。 Windows Hello for Business也可通过Microsoft 365 E3或E5订阅访问。因此,Windows Hello for Business的成本来自Entra ID P1或P2,这些包含在某些Microsoft 365订阅中。请注意,Entra ID还有一个免费层,适用于小团队或顾问。 作为比较,Windows Hello包含在Windows 10和11中,无需额外费用。
Windows Hello for Business提供哪些功能?
认证软件为企业提供多项重要服务,包括以下内容:
- 用户身份和验证,在获得访问公司资源的授权之前进行。通常称为用户访问控制,它为设备用户访问提供高级访问控制。
- 密码管理和安全服务,包括密码管理器,如LastPass、1Password和内置管理器,如Chrome中提供的管理器。
- 通过提供初始前线安全过滤器来减少安全威胁。即使在预算不足以购买昂贵认证服务的中小企业(SMB)中,也有基本产品提供至少粗略级别的保护。
- 高级安全,包括多因素认证(MFA)、基于策略的条件访问和单点登录(SSO)。这可以使组织迈向无密码环境。
- 法规合规性和法律要求。通过具有基于策略的规则执行的产品实现。
Windows Hello通过配置图1中显示的选项在每个设备上设置。在Windows 10或11中,转到“设置”>“账户”>“登录选项”。这允许Windows Hello配置以下内容:
- 面部识别。
- 指纹识别。
- PIN。
图1. 用户和管理员通过不同认证方法与Windows Hello交互的基本方式
面部和指纹识别仅限于具有适当设备硬件的设备。例如,摄像头必须与Windows Hello兼容。Windows Hello也不提供对SSO、MFA、Web和云服务或条件访问和策略的支持。 与使用Windows Hello for Business的批量管理相比,Windows Hello在设置、配置和维护多个设备时耗时。因此,Windows Hello for Business是大型组织的首选工具。Windows Hello for Business在Azure和Intune工具中可用,用于管理所有云配置的桌面。
Windows Hello for Business还支持多项企业关键服务和功能,包括以下内容:
- [IT可以利用] Windows Hello提供的所有认证方法,以及基本版本未提供的一些方法,包括MFA和SSO。
- 条件访问策略。
- 基于云的中心平台,用于身份管理,以管理用户、应用程序和策略。例如,IT可以集中管理PIN长度、生物识别类型、过期等策略。
- 支持Web、Windows、云服务和第三方认证。
- Windows Hello提供的所有认证方法,以及基本版本未提供的一些方法,包括MFA和SSO。这包括用于移动设备的Microsoft Authenticator应用程序和SMS。
Windows Hello for Business部署选项
由于Windows Hello for Business是唯一适用于商业环境的Microsoft认证工具,组织在部署此技术之前必须审查不同的要求。 Windows Hello for Business的部署选项包括仅云、本地和混合。IT选择的模型应取决于组织如何管理认证、身份和设备。使用以下描述来确定哪种模型适合组织的业务需求。
仅云部署与Entra ID
此选项专为仅加入Entra且本地基础设施有限或没有的组织设计。Intune通常是最直接的管理选项。这些设备仅加入Entra基础设施,仅访问云资源,如SharePoint Online和OneDrive(图2)。
图2. 具有众多管理选项的Azure管理面板
本地Active Directory部署无Entra ID
对于具有非Entra ID访问且没有云服务的组织,本地部署模型是最佳选择。设备仅加入本地Active Directory(AD)基础设施。这些客户端使用本地应用程序,通常需要SSO进行访问。
混合部署与Entra ID和本地AD
混合模型非常适合在传统本地AD和云服务中都有设备的企业。在这种情况下,设备加入本地Entra并在Entra ID中注册。它们使用在Microsoft Entra ID中注册的应用程序,通常希望有一个SSO平台无缝访问两个环境中的资源。
Windows Hello for Business的基础设施支持选项
无论组织使用本地、仅云还是混合部署模型,Windows Hello for Business都可以与现有的Microsoft Entra或AD基础设施配合使用。此外,在本地AD部署传统公钥基础设施(PKI)的情况下,IT人员应考虑密钥信任和云信任模型,以提高效率而不影响安全性。 此表比较了三种部署模型的功能和组件。
| 关键功能 | 仅云 | 本地 | 混合 |
|---|---|---|---|
| 目录 | 仅Entra ID | 仅本地AD | 本地AD和Entra ID |
| 基础设施 | 无本地AD域控制器(DC),无PKI | 本地DC、PKI和部分AD Federation Services(AD FS) | 本地DC、可选PKI、AD FS或Entra Connect、Entra ID |
| Windows OS | Windows Server 2016或更高版本、Windows 10和Windows 11 | ||
| 认证 | Entra ID云信任或密钥信任 | PKI证书信任、Entra ID云信任、密钥信任 | 密钥信任或Entra ID云信任 |
| 设备加入类型 | Entra加入和注册 | 传统AD域加入 | Entra加入、混合加入和注册 |
| 云依赖 | 是——完全 | 无 | 部分。有两个环境:一个有云,一个没有 |
| 管理 | Intune | 组策略、Intune、Configuration Manager | 组策略、Intune或Configuration Manager |
| 注册的MFA | Entra MFA | 必需 | 云环境的Entra MFA,本地设备的本地MFA |
| 用例 | 没有传统本地AD基础设施的组织 | 具有本地策略且无云环境的组织 | 通常用于具有大型传统AD环境但正在迁移到云AD的较老大型企业 |
Windows Hello for Business安全和策略配置
Windows Hello for Business提供三种信任类型以认证到AD:云信任、密钥信任和证书信任。虽然信任类型决定了是否颁发认证证书,但Microsoft表示没有一种信任模型比另一种更安全。PKI只是更难以部署和维护,不用于云部署。以下是三种信任类型:
- 云信任。这是最简单和最快的认证——非常适合云,但管理员可以将其用于本地环境。对于云设备,不需要PKI,使用户无需证书即可访问本地资源。请注意,Microsoft Entra Kerberos服务授予本地AD的票证授予票证。
- 密钥信任。这种无密码认证使用基于密钥的凭据,无需证书。公钥存储在AD中,AD使用该密钥认证用户。此信任比云信任更复杂,但比证书信任更简单。它非常适合混合环境,使本地AD资源无需证书结构即可认证。
- 证书信任。这是本地AD的传统PKI,需要比密钥或云信任模型更复杂的配置。
Windows Hello for Business使用Microsoft Intune、组策略、第三方MDM提供商和Microsoft的Configuration Manager组策略或Intune设置。上表确定了每种部署模型所需的工具。 可配置的策略包括PIN策略、生物识别设置、可信平台模块(TPM)、使用便利PIN和注册策略。这也确定了哪些登录选项可用。
Windows Hello for Business客户端要求
Windows Hello for Business部署的客户端要求包括以下内容:
- 受支持的操作系统——Windows 10 v1703+或Windows 11。
- 硬件支持TPM 1.2;推荐v2.0。
- 在AD或Entra ID域中的加入状态,或两者兼有。
- 兼容的指纹读取器和摄像头要求,用于MFA部署。
Gary Olsen自1983年以来一直在IT行业工作,并持有杨百翰大学的计算机辅助制造硕士学位。他从1998年到2000年在Microsoft的Windows 2000 beta支持团队中负责Active Directory,并撰写了两本关于Active Directory的书籍以及许多杂志和网站的技术文章。